Remarque
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
Important
Cette fonctionnalité est disponible en préversion publique.
Cette page explique comment utiliser des stratégies de point de terminaison de service de réseau virtuel Azure pour filtrer le trafic sortant à partir du plan de calcul classique, ce qui garantit que les connexions sont effectuées uniquement à des comptes de stockage Azure spécifiques.
Qu’est-ce que les points de terminaison de service et les stratégies de point de terminaison de service ?
Les points de terminaison de service et les stratégies fonctionnent ensemble pour créer une connexion privée mutuellement approuvée.
- Points de terminaison de service de réseau virtuel Azure : pour sécuriser le trafic vers stockage Azure, activez un point de terminaison de service sur le sous-réseau de votre réseau virtuel. Cela crée une connexion sécurisée et directe au service Stockage Azure sur le réseau principal Azure, en conservant le trafic hors de l’Internet public.
- Stratégies de point de terminaison de service de réseau virtuel Azure : vous appliquez une stratégie de point de terminaison de service à ce même sous-réseau que votre point de terminaison de service. Cette stratégie agit comme un filtre au-dessus du point de terminaison, ce qui vous permet de restreindre les connexions uniquement aux comptes de stockage Azure spécifiques que vous définissez. Cette combinaison empêche l’exfiltration des données vers des comptes de stockage non autorisés.
Comment fonctionnent-ils ?
L’image suivante montre une vue d’ensemble de la configuration des points de terminaison de service et des stratégies de point de terminaison de service :
- Créez une stratégie de service de réseau virtuel Azure. Consultez l’étape 1 : Créer une stratégie de point de terminaison de service.
- Ajoutez les comptes de stockage dont vous avez besoin à votre politique. Par exemple, l’espace de travail par défaut et les comptes de stockage du catalogue Unity. Les comptes de stockage qui utilisent des points de terminaison privés n’ont pas besoin d’être ajoutés à la stratégie.
- Attachez votre stratégie de service au sous-réseau de l’espace de travail. Consultez l’étape 2 : Attacher la stratégie au sous-réseau de l’espace de travail.
- Connectez le point de terminaison de
Microsoft.Storageservice de réseau virtuel Azure au sous-réseau de l’espace de travail. La stratégie de point de terminaison de service du sous-réseau est appliquée au point de terminaison de service. - Le stockage non autorisé n’est pas accessible, car il n’est pas autorisé par la stratégie.
Le point de terminaison de service achemine tout le trafic réseau de votre espace de travail Azure Databricks, ce qui autorise les connexions aux comptes de stockage définis dans la stratégie et bloque toutes les tentatives non autorisées.
Avantages des points de terminaison de service
- Priorité et sécurité des itinéraires : les points de terminaison de service créent un chemin d’acheminement direct et prioritaire vers les services Azure sur le réseau principal Azure. Cet itinéraire optimisé remplace la plupart des itinéraires définis par l’utilisateur (UDR), ce qui empêche le trafic d’être forcé involontairement via une appliance virtuelle réseau (NVA) ou vers Internet. Ce comportement renforce votre posture de sécurité et permet d’éviter l’exfiltration des données.
- Optimisation des coûts : étant donné que le trafic vers les services Azure reste dans la colonne principale Azure, vous évitez les frais associés à la sortie via une passerelle NAT ou une appliance virtuelle réseau.
Pour plus d’informations, consultez les points de terminaison de service de réseau virtuel Azure et les stratégies de point de terminaison de service de réseau virtuel pour Stockage Azure .
Avantages des stratégies de point de terminaison de service
- Portée globale : alors qu’une stratégie de point de terminaison de service est une ressource régionale, les règles qu’elle contient peuvent cibler des comptes de stockage Azure dans n’importe quelle région, abonnement ou locataire. Cela permet à une stratégie régionale de gérer l’accès global au stockage.
- Stratégies additives : vous pouvez associer plusieurs stratégies à un seul sous-réseau. Les assignations de stratégies sont cumulatives, ce qui signifie que le sous-réseau obtient l'accès à l'ensemble combiné de tous les comptes de stockage autorisés de toutes les stratégies jointes. Cela est utile pour modéliser différentes exigences d’accès.
Meilleures pratiques
Pour chaque espace de travail Azure Databricks, configurez une stratégie de point de terminaison de service qui cible son compte de stockage DBFS racine et tous les emplacements externes du catalogue Unity associés. Vous devez également ajouter l’alias de service /services/Azure/Databricks à cette stratégie pour autoriser l’accès au stockage essentiel Azure Databricks. Pour appliquer différents ensembles de règles, vous pouvez créer des stratégies supplémentaires pour des environnements spécifiques tels que le développement et la production.
Important
Nous vous recommandons d’examiner la configuration de l’itinéraire défini par l’utilisateur pour vérifier qu’elle fonctionne avec les points de terminaison de service configurés sur le sous-réseau. Les UDR peuvent influencer le routage, comme les étiquettes de service de stockage, et peuvent contourner les points de terminaison de service s’ils sont mal configurés. Les stratégies de point de terminaison de service contrôlent les comptes de stockage autorisés ; Les UDR n’interagissent pas directement avec les stratégies.
Spécifications
Note
Les espaces de travail créés le 14 juillet 2025 ou après prennent par défaut en charge automatiquement la création de stratégies de point de terminaison de service. Pour les espaces de travail créés avant cette date, contactez votre équipe de compte Databricks pour demander l’accès.
Votre espace de travail Azure Databricks doit répondre aux exigences suivantes :
- Être déployé dans votre propre réseau virtuel Azure (VNet), également appelé injection de réseau virtuel. Consultez Déployer Azure Databricks dans votre réseau virtuel Azure (injection de réseau virtuel).
- Utilisez la connectivité de cluster sécurisée (SCC). Consultez Activer la connectivité sécurisée du cluster.
- Le groupe de ressources de l’espace de travail est déverrouillé et le réseau virtuel n’a pas de configurations ou de stratégies personnalisées qui bloquent cette fonctionnalité.
Configurer une stratégie de point de terminaison de service
Avant d’attacher une stratégie de point de terminaison de service au sous-réseau public de votre espace de travail, créez des règles de stratégie pour tous les comptes de stockage auxquels vos ressources de calcul classiques accèdent à l’aide de points de terminaison de service. Tout compte de stockage sans règle de stratégie correspondante est bloqué.
Étape 1 : Créer une stratégie de point de terminaison de service
Dans le portail Azure, recherchez la stratégie de point de terminaison de service et sélectionnez Créer une stratégie de point de terminaison de service.
Sous l’onglet Général :
- Sélectionnez l’abonnement et la région qui correspondent au réseau virtuel de votre espace de travail.
- Entrez un nom descriptif pour la politique, par exemple
databricks-workspace-prod-westus. - Cliquez sur Suivant : Définitions de stratégie.
Sous l’onglet Définitions de stratégie, ajoutez le stockage managé Azure Databricks :
- Cliquez sur + Ajouter un alias.
- Sélectionnez
/services/Azure/Databricks. - Cliquez sur Ajouter.
Note
L’alias
/services/Azure/Databricksautorise uniquement l’accès aux comptes de stockage requis que Databricks gère. Il n’accorde pas l’accès à tous les comptes de stockage de la région.Ajoutez vos propres comptes de stockage :
- Cliquez sur + Ajouter une ressource.
- Pour Étendue, sélectionnez Compte unique.
- Ajoutez le compte de stockage DBFS par défaut de votre espace de travail, les comptes de stockage du catalogue Unity et tous les autres comptes de stockage requis un par un.
- Vous pouvez ajouter ou supprimer des comptes de stockage de la politique à tout moment.
Cliquez sur Vérifier + créer, puis sur Créer.
Étape 2 : Attacher la stratégie au sous-réseau de l’espace de travail
Une stratégie de point de terminaison de service peut être attachée aux sous-réseaux publics et privés de votre espace de travail, mais seul le sous-réseau public communique avec le stockage.
- Dans le portail Azure, accédez au réseau virtuel de votre espace de travail.
- Dans la barre latérale sous Paramètres, cliquez sur Sous-réseaux.
- Sélectionnez votre sous-réseau public.
- Dans les paramètres de sous-réseau, faites défiler jusqu’à la section Points de terminaison de service .
- Dans le menu déroulant Services , sélectionnez
Microsoft.Storage. - Faites défiler jusqu’à la section Stratégies de point de terminaison de service .
- Dans le menu déroulant Stratégies , sélectionnez la stratégie que vous avez créée précédemment.
- Cliquez sur Enregistrer.
Validation
Pour valider la configuration :
- Démarrez un cluster Azure Databricks dans l’espace de travail.
- Exécutez une charge de travail qui lit ou écrit dans un compte de stockage inclus dans votre stratégie. L’opération réussit.
- Essayez d’accéder à un compte de stockage qui n’est pas inclus dans votre stratégie. Toute demande adressée à un compte de stockage non défini dans la stratégie échoue avec une erreur d’autorisation.